EU's AI-forordning: en praktisk tjekliste til virksomheder

EU's AI-forordning er nu i kraft, og de fleste bestemmelser, der påvirker virksomheder, der implementerer AI-systemer, gælder fra august 2026. Hvis din organisation bruger AI til at støtte beslutninger inden for områder som HR, kreditvurdering, adgang til uddannelse eller forvaltning af kritisk infrastruktur, har du sandsynligvis at gøre med et højrisikosystem under forordningens klassifikation. Denne tjekliste er et praktisk udgangspunkt – ikke juridisk rådgivning – for at hjælpe dig med at forstå, hvad der kræves, og hvorfor on-premise AI med Privonis kan gøre compliance betydeligt lettere.

Trin 1: klassificér dit AI-system efter risikokategori

Forordningen opdeler AI-systemer i fire niveauer: uacceptabel risiko (forbudt), høj risiko (strenge forpligtelser), begrænset risiko (transparensforpligtelser) og minimal risiko (ingen specifikke krav). De fleste enterprise AI-implementeringer – rekrutteringsværktøjer, kundescoringer, dokumentbehandling til regulerede beslutninger – falder inden for høj risiko eller begrænset risiko. Fejlklassificering af et højrisikosystem som begrænset risiko er den mest almindelige compliance-fejl på dette stadium.

Trin 2: byg din tekniske dokumentation

Højrisikosystemer skal ledsages af detaljeret teknisk dokumentation, inden de bringes på markedet eller tages i brug. Denne dokumentation skal beskrive det tilsigtede formål, de anvendte træningsdata, præstationsmålingerne, de forudsigelige misbrug og risikostyringsforanstaltningerne. Hvis du implementerer en tredjeparts fundament-model via en API, kan det være vanskeligt eller umuligt at indhente denne dokumentation fra udbyderen. Self-hosted modeller giver dig fuld synlighed i stakken.

• Generel beskrivelse: tilsigtet formål, versionshistorik, interaktion med andre systemer.
• Design og udvikling: datastyring, træningsmåde, arkitekturbeskrivelse.
• Validering og test: præstationsmålinger, testdatasæt, kendte begrænsninger.
• Risikostyring: identificerede risici, afbødningsforanstaltninger, vurdering af restrisiko.
• Overvågning efter markedsintroduktion: plan for sporing af præstation, når det er implementeret.
• Logs og optegnelser: revisionsspor for systemoutput, især ved beslutninger med høj indsats.

Trin 3: implementér menneskelige tilsynsmekanismer

Forordningen kræver, at højrisiko AI-systemer er designet til at give enkeltpersoner mulighed for effektivt at overvåge og gribe ind under brug. Dette betyder, at systemet skal kunne stoppes, tilsidesættes eller korrigeres af en menneskelig operatør. Det betyder også, at grænsefladen skal præsentere output på en måde, som en kompetent menneskelig kan fortolke meningsfuldt og anfægte. Autonom beslutningstagning uden et menneske i loopet er kun tilladt i snævert afgrænsede scenarier, og selv da med fuld logning.

Compliance er ikke et afkrydsningsfelt – det er en arkitekturbeslutning. Byg tilsyn ind fra dag et, ikke som en eftertanke.

Trin 4: datastyring og overlap med GDPR

AI-forordningen introducerer datastyringsforpligtelser for trænings- og valideringsdatasæt, der sidder ved siden af – og på nogle områder overlapper – dine eksisterende GDPR-forpligtelser. Du skal dokumentere provenansen af træningsdata, sikre at de er repræsentative og fri for skævheder, der kan føre til diskriminerende output, og opbevare optegnelser over databeslutninger. Hvis personoplysninger er involveret (og i de fleste enterprise-sammenhænge vil de være det), skal dit AI-systems databehandlingsaktiviteter også være dækket af et GDPR-kompatibelt retsgrundlag, en databehandleraftale med enhver databehandler og, hvor det er relevant, en konsekvensanalyse vedrørende databeskyttelse (DPIA).

Hvorfor on-premise AI forenkler compliance

Når du sender data til en cloud AI-API, introducerer du en tredjeparts databehandler, en potentiel grænseoverskridende dataoverførsel og en afhængighed af den udbyders dokumentations- og revisionsmuligheder – alle skaber compliance-kompleksitet. At køre AI på din egen infrastruktur med Privonis eliminerer tredjeparts-dataflowet fuldstændigt. Du kontrollerer modellen, logs, adgangstilladelser og opbevaringspolitik. Dine data forbliver i EU. Dit revisionsspor er dit. Dette handler ikke kun om privatlivsbeskyttelse: det handler om at kunne påvise compliance over for en tilsynsmyndighed med beviser, du faktisk besidder. AI-forordningen er kompleks, men de virksomheder, der er bedst placeret til at opfylde dens krav, er dem, der opretholder reel kontrol over deres AI-systemer fra starten.